Cl@ve es la plataforma común del sector público español para la identificación y autenticación electrónica de ciudadanos mediante claves concertadas. El sistema permite a los ciudadanos acceder a servicios públicos electrónicos de forma unificada y simplificada sin necesidad de recordar claves diferentes. Se basa en un modelo de federación que integra proveedores de servicios de identificación como la AEAT y la Seguridad Social.
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
Introducción a Cl@ve, la plataforma común de identificación electrónica del sector público en España
1.
2. Introducción a Cl@ve
• Cl@ve es la plataforma común del Sector Público Administrativo Estatal
para la identificación, autenticación y firma electrónica mediante el uso
de claves concertadas, abierta a su utilización por parte de todas las
Administraciones Públicas.
– Cl@ve es un sistema orientado a unificar y simplificar el acceso
electrónico de los ciudadanos a los servicios públicos, permitiendo
que estos puedan identificarse ante la Administración mediante
claves concertadas (usuario más contraseña), sin tener que recordar
claves diferentes para acceder a los distintos servicios.
– Aprobada en el Acuerdo de Consejo de Ministros del 19 de
septiembre de 2014
– Proyecto colaborativo impulsado por la DTIC alineado con las
medidas CORA
– Técnicamente se apoya en los resultados del proyecto europeo
STORK
– http://clave.gob.es/clave_Home/clave.html
3.
4. Diseño de CLAVE
● El diseño de Cl@ve está basado en un sistema de federación de
identidades electrónicas, que integra diferentes elementos:
● Proveedores de servicios de administración electrónica (SP)
– Entidades que proporcionan servicios electrónicos a los ciudadanos y utilizan la
plataforma para la identificación y autenticación de los mismos.
● Proveedores de servicios de identificación y autenticación (IdP)
– Entidades que proporcionan mecanismos de identificación y autenticación de los
ciudadanos para ser utilizados como medios comunes por otras entidades.
– Inicialmente se contempla la existencia de dos proveedores de servicios de
identificación,
● La Agencia Estatal de Administración Tributaria (AEAT) que ofrecerá los servicios de Identificación
y autenticación correspondientes al sistema Cl@ve PIN
● La Gerencia de Informática de la Seguridad Social (GISS) que ofrecerá el servicios Cl@ve
permanente, basado en el uso de usuario y contraseña, reforzado con claves de un solo uso por
SMS.
– El diseño de la solución contempla la extensión a otros potenciales proveedores de
identidades, si así se considera conveniente.
● Pasarela / Gestor de Identificación
– Sistema intermediador que posibilita el acceso de los proveedores de servicios a los
distintos mecanismos de identificación y la selección de éstos por parte del usuario
5. Gestor de
identidades
– Cl@ve
Servicio de
e-Admon
STORK
@firma
AEAT
GISS
Comunicación
mediante
redirecciones
del navegador
(aserciones
SAML)
Comunicación mediante
redirecciones del
navegador
(aserciones SAML)
Intermediador
de eID
extranjeros
Proveedor del
servicio (SP)
Proveedores de
servicios de
identificación (IdP)
Intermediador
de DNIe y
certificados
Identificación y
Autenticación
Esquema general
6.
7. Los pasos de la interacción son los siguientes
●
El ciudadano accede a un servicio de administración electrónica
integrado con Cl@ve que requiere que se identifique.
●
El ciudadano es redirigido a Cl@ve, que le presenta una
pantalla en la que debe seleccionar el método de identificación
que quiere utilizar.
– Las opciones activas en la pantalla vienen condicionadas por los parámetros que el
SP ha indicado en el mensaje que ha enviado a Cl@ve relativos a los IdP y niveles
QAA permitidos.
●
El ciudadano selecciona el método de identificación y es
redirigido al IdP correspondiente.
– El ciudadano se autentica en el IdP seleccionado y es redirigido de nuevo a Cl@ve
●
De forma transparente, sin que sea necesario interacción, el
ciudadano es redirigido de nuevo al SP.
8.
9. Gestor de
identidades
– Cl@ve
Servicio de
e-Admon
STORK
@firma
AEAT
GISS
Intermediador
de eID
extranjeros
IdP
Proveedores de
servicio s(SP)
IdP
Proveedores de
identidad (IdP)
Intermediador
de DNIe y
certificados
IdP
IdP
Servicio de
e-Admon
Servicio de
e-Admon
Círculos de confianza
10. Usado en sistemas de federación de identidades
Framework basado en XML para reunir y organizar
información de seguridad e identidad e intercambiarla
entre diferentes dominios
Integra tecnologías de seguridad ya existentes en lugar de inventar
nuevas tecnologías
Sus perfiles ofrecen interoperabilidad para una variedad de casos de
uso, pero se pueden ser extendidos para casos adicionales
Base de SAML: aserciones acerca de sujetos
Autenticación
Atributos
Derechos de acceso
SAML 2.0 (OASIS): Integra SAML 1.0 y 1.1, Liberty
Alliance, y Shibboleth
SAML
12. Datos personales manejados por la interfaz STORK
Atributo personal Valores y comentario
eIdentifier Identificador nacional de otros países.
givenName Nombre del ciudadano
surname
inheritedFamilyName / adoptedFamilyName (cada
país tendrá en el surname uno de estos casos
como el apellido comúnmente usado)
inheritedFamilyName Apellido de nacimiento
adoptedFamilyName
Apellido adoptado (para casos en que el apellido
cambia al contraer matrimonio, por ejemplo)
gender Género
nationalityCode Código del país de nacionalidad
maritalStatus Estado civil
dateOfBirth Fecha de nacimiento
countryCodeOfBirth Código del país de nacimiento
age Edad
isAgeOver ¿La edad es mayor de X años?
textResidenceAddres
s
Dirección en varias líneas de texto de la dirección
postal.
canonicalResidenceAd
dress
Dirección en formato canónico
residencePermit Permiso de residencia
eMail Correo electrónico
title Título
pseudonym Seudónimo
citizenQAAlevel Nivel con el que se autenticó el usuario.
fiscalNumber Número fiscal
Nombre Descripción / Observaciones
Tipo de Documento Identificativo Valor inicial: DNI/NIE
En este modelo de datos se debe contemplar que en el
futuro se puedan tener identificaciones distintas del
DNI/NIE. Por ejemplo, ciudadanos de otros países.
NIF/NIE
La identificación del ciudadano debe ser los que figura en la
DGP, responsable de emitir los DNI/NIE. Para cumplir este
requisito, se utilizará el servicio SVDI de la DGP desde la
aplicación de Registro.
Nombre
Apellido1
Apellido2
Fecha de validez del DNI/NIE
Indicador de Permanente
Teléfono Aunque actualmente sólo se permiten teléfonos españoles
(9 posiciones), el modelo contemplará números de otros
países (15 posiciones)
Email
Tipo de Registro Telemático a partir de una carta de invitación
Con certificado electrónico, equivalente al
presencial
Presencial
Identificación del Organismo Identificador del Organismo que realiza el Registro. Se
utiliza el identificador asignado en el Directorio de
Organismos DIR3
Identificación del Funcionario NIF del funcionario que realiza el Registro en su modalidad
Presencial.
Estado Alta
Renuncia
Revocado
Baja-Fallecido
TimeStamp TimeStamp del momento en el que se realiza el último
movimiento
Código de Activación El código de referencia será un código de 8 posiciones
numéricas.
En la base de datos se almacenará el HASH del código.
Interfaz STORK Datos de registro
Datos personales manejados por la
interfaz de STORK
13. • Niveles de aseguramiento de la calidad de la
autenticación, en base a:
– Como se verifica la identidad de la persona antes de darle el
mecanismo de identificación. Requiere registro fiable.
– Aspectos técnicos de los medios de autenticación…
• El proveedor del servicio define el nivel de calidad
en la autenticación que requiere para su servicio
• Recogidos en el Reglamento Europeo eIDAS:
– Básico
– Sustancial
– Alto
• Obligatoriedad de reconocimiento de credenciales
extranjeras con nivel mayor o igual al requerido para las
nacionales
Niveles de identificación
14. • Niveles influidos por el proceso de registro:
– Presencial
– Con certificado reconocido
– No presencial
• Ejemplos basados en el QAA de STORK
– Alto: Certificados electrónicos (contienen
los datos de identidad). Nivel alto
– Sustancial: Usuario/contraseña + doble factor
(clave de un solo uso/tarjeta coordenadas)
– Básico: Usuario/contraseña
Niveles de identificación
15. • El proveedor del servicio define
– Qué proveedores de identidad deben ser intermediados por
Cl@ve
– El nivel de calidad de la credencial (QAA) que se debe usar
para autenticarse en su servicio
• El proveedor de servicio recibe como respuesta
– Resultado del proceso de autenticación (OK, KO)
– Datos de identidad: identificador (DNI), nombre y apellidos
– Datos del proceso de autenticación: QAA, proveedor de
identidad
•El proveedor de identidad recibe datos de identificación
del proveedor del servicio
– País, sector, proveedor de servicio, aplicación del proveedor
Información intercambiada